Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem Rootkit "ZeroAccess"

PiotrM21

Przez PiotrM21
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

PiotrM21

PiotrM21

Opublikowano
Opublikowano

Na wstępie przedstawię mój temat z innego forum : http://forum.idg.pl/problem-profesional-shield-pro-t207729.html

 

Nie czekając na odpowiedz na tamtym forum usunąłem ten wirus samem, ponieważ znam się trochę na komputerach uznałem że dam sobie z nim sam radę.

Była to godzina coś kolo 1 w nocy dlatego nie czekałem na odpowiedź.

Myśląc że usunąłem go następnego dnia wróciłem do swoich zajęć. Jednak zaniepokoił mnie fakt ze nie działa mi anty-wirus. Posiadałem NOD32 wersje 4.2.7. jeśli dobrze pamiętam.

Usunąłem go i próbowałem zainstalować na nowo jednak podczas instalacji wyskakiwały mi komunikaty iż "instalator nie ma wystarczajacych uprawnień..." klikałem przycisk "ignoruj" jednak pod koniec instalacji wyskakiwał kolejny komunikat "nie można zapisać wartości Name do klucza/software/eset/eset security/curentversion/schedeler/1 sprawdz czy masz uprawnienia do tego klucza lub skontaktuj się z pomocą techniczną" i tak z każdym kluczem w tym drzewie. Po czym instalacja się cofała i kończyła nie powodzeniem. Próbowałem instalować inne ale albo się po instalacji wyłączały lub były takie same problemy przy instalacji jak z NOD.

Dziś rano postanowiłem zobaczyć odpowiedz na w/w forum i się przeraziłem.

Odrazu poczyniłem kroki aby napisać ten post i opisać mój problem.

Piszę tego posta z innego komputera ponieważ na moim raz jest internet raz po restarcie nie ma.

Zrobiłem scan OTL i oto jego wynik: http://wklej.org/id/598837/

Niestety scan ani GMER ani Rootrepeal nie mogłem wykonać. po rozpoczęciu skanowania okno się zamyka i nie mogę ich uruchomić ponownie to samo dzieje się z nimi w trybie awaryjnym. Posiadałem Demontools-a ale przed rozpoczęciem skanowania Gmer-em go usunąłem, nie jestem pewiem czy dobrze usunąłem sterownik SPTD ( do kroków 1-2 było wszystko zgodnie z opisem).

 

Powiedzcie czy mam wykonywać te podpowiedzi z tamtego forum czy najpierw wykonać wasze podpowiedzi.

W tym momencie już nic sam nie będę robił, tylko z pomocą profesjonalistów.

Proszę pomóżcie mi usunąć tego rootkita.

Z góry dziękuję za każdy rodzaj pomocy.

 

ps. w razie jakichkolwiek braków w opisie lub logów piszcie odrazu abym je mógł uzupełnić.

OTL.Txt

Extras.Txt

Scan-Raport tdsskiller.txt

Result.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Niestety scan ani GMER ani Rootrepeal nie mogłem wykonać. po rozpoczęciu skanowania okno się zamyka i nie mogę ich uruchomić ponownie to samo dzieje się z nimi w trybie awaryjnym.

 

To są skutki czynnego rootkita. Czynny rootkit zapobiega odczytaniu swoich komponentów przez narzędzia, narzędzia mają zresetowaną listę ACL (kontroli dostępu). Są nieuruchamialne z bieżącej kopii, dopóki nie zostanie zresetowane ACL, co nie ma sensu przy czynnym rootkicie. Raz zdefektowane narzędzie należy pobrać od początku. Reset ACL odblokowujący narzędzia zawsze prowadzę na samiutkim końcu.

 

 

Ale użyjesz też dopiero wtedy, gdy @Picasso Ci na to pozwoli (choć raczej na 99% będziesz musiał użyć, ze względu na podstawiony fałszywy plik Systemowy "mswsock.dll" - ComboFix musi go podmienić znów na prawidłowy).

 

Combofix nie prowadzi tego typu operacji. Ten plik przecież to przekierowanie, nie podmienia prawidłowego pliku Windows, tylko wstawia się w Winsock.

 

 

Piszę tego posta z innego komputera ponieważ na moim raz jest internet raz po restarcie nie ma.

 

Skutki w/w operacji rootkit.

 

 

Powiedzcie czy mam wykonywać te podpowiedzi z tamtego forum czy najpierw wykonać wasze podpowiedzi.

 

Tamte wypowiedzi są niejako "skopiowane" stąd, bo wskazano DummyCreator. Poza tym, pytasz a już poleciałeś z instrukcją. Tzn. zastosowałeś DummyCreator (ale log z OTL jest za stary w stosunku do akcji, robiony przed) oraz skan Kasperskym:

 

16:33:08.0687 2932	redbook         (27fd0496252105b459fa5e1e608e2caa) C:\WINDOWS\system32\DRIVERS\redbook.sys
16:33:08.0687 2932	Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\redbook.sys. Real md5: 27fd0496252105b459fa5e1e608e2caa, Fake md5: bddcece9acdad26841c987d10376f6f7
16:33:08.0687 2932	redbook ( ForgedFile.Multi.Generic ) - warning
16:33:08.0687 2932	redbook - detected ForgedFile.Multi.Generic (1)

 

Kaspersky nie będzie zdolny tego wyleczyć, ponieważ wykrywa sterownik naruszony przez ZeroAccess jako "ForgedFile.Multi.Generic". Ten typ wyniku nie udostępnia opcji "Cure" tylko "Delete", a tego nie można zrobić na sterowniku Windows. Poza tym, inne składniki rootkita nie są tu uleczone.

 

W związku z przeprowadzonymi już tu operacjami zadanie ograniczam do:

 

1. Pobierz ComboFix.

 

2. Przejdź w Tryb awaryjny Windows i spróbuj uruchomić ComboFix. Jeśli się uda, przedstaw raport.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

ComboFix całościowo dał radę, skasował link symboliczny, sterownik losowy oraz podmienił zainfekowany redbook.sys. Wracając do Twojego poprzedniego loga OTL, to tu jest także niedoczyszczona infekcja Qooqlle (nie wiem kto-jak-czym to likwidował, ale zapomniano zresetować keyword.URL w Firefox i wywalić plik konfiguracyjny search.xml wyszukiwarki Qooqlle). Kolejne instrukcje:

 

 

1. Reanimacja poszkodowanych przez rootkita plików. Uruchom GrantPerms, w oknie wklej:

 

ścieżka 1 do pliku exe
ścieżka 2 do pliku exe
... i tak dalej ...

 

Wklejasz konkretne ścieżki wiodące do zablokowanych plików. Zastosuj opcję Unlock. Po odblokowaniu przez SHIFT+DEL skasuj z dysku pliki.

 

2. Pod kątem obecnego wcześniej ESET, a także widzialnych w ostatnim OTL szczątków Kaspersky / Avast i Symantec:

 

SRV - [2011-01-12 17:41:42 | 000,810,144 | ---- | M] () [Auto | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)
DRV - [2011-09-23 18:03:52 | 000,127,096 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS -- (SymEvent)
DRV - [2011-09-21 22:00:22 | 000,565,552 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\klif.sys -- (KLIF)
DRV - [2010-12-21 16:04:06 | 000,141,264 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
DRV - [2010-12-21 16:04:06 | 000,115,008 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2010-12-21 14:47:38 | 000,094,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
 
[2011-09-23 20:25:42 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2011-09-23 20:25:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
[2011-09-23 18:03:52 | 000,127,096 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\SYMEVENT.SYS
[2011-09-23 18:03:52 | 000,060,872 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\S32EVNT1.DLL
[2011-09-23 18:03:52 | 000,007,510 | ---- | M] () -- C:\WINDOWS\System32\drivers\SYMEVENT.CAT
[2011-09-23 18:03:52 | 000,000,806 | ---- | M] () -- C:\WINDOWS\System32\drivers\SYMEVENT.INF
[2011-09-21 22:00:22 | 000,565,552 | ---- | M] (Kaspersky Lab) -- C:\WINDOWS\System32\drivers\klif.sys

 

Z poziomu Trybu awaryjnego Windows zastosuj serię narzędzi firmowych specjalizowanych w usuwaniu: ESET Uninstaller, Kaspersky Remover, Avast Uninstall Utility i Norton Removal Tool.

 

3. OTL notował także brak pliku HOSTS:

 

Hosts file not found

 

Włącz pokazywanie rozszerzeń w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz "Ukrywaj rozszerzenia dla znanych typów plików". Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

4. Przejdź do Dodaj / Usuń programy i odinstaluj śmiecia adware DAEMON Tools Toolbar.

 

5. Skrypt poprawkowy wykańczający Qooqlle i wpisy po zrzutach pamięci. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL


FF - prefs.js..keyword.URL: "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q="


[2011-05-22 16:05:36 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\Firefox\Profiles\aue9jp8q.default\searchplugins\search.xml


O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found


O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found


 


:Commands


[emptyflash]


[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

6. Przedstaw nowy log z OTL z opcji Skanuj + log z AD-Remover z opcji Scan.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Mam już ten grantPerms ale nie wiem które ścieżki plików tam wkleić i skąd je wziąć.

 

Mówiłeś:

 

Niestety scan ani GMER ani Rootrepeal nie mogłem wykonać. po rozpoczęciu skanowania okno się zamyka i nie mogę ich uruchomić ponownie to samo dzieje się z nimi w trybie awaryjnym.

 

Czyli pliki narzędzi zostały zablokowane przez rootkita. I o to mi chodzi: dla każdego narzędzia, które uruchamiano podczas obecności rootkita i które zostało zablokowane, należy wykonać reset uprawnień. Ścieżki skąd? Tam gdzie masz te pliki....

 

 

 

 

.

Odnośnik do komentarza
PiotrM21

PiotrM21

Opublikowano
  • Autor
Opublikowano

oto logi po wykonaniu podpowiedzi:

 

oto skan po wykonaniu własnego skryptu : http://wklej.org/id/598995/

 

#edit : co zauważyłem po napisaniu tego posta że nie działa mi Office. przy uruchamianiu worda wyskakuje mi komunikat " za mało pamięci lub miejsca na dysku,aby uruchomić program word", inne programy office też albo się nie uruchamiają albo wyskakuje komunikat " leksykon (XLLEX.DLL) jest uszkodzony lub niedostępny.

OTL.Txt

Ad-Report-SCAN1.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Drobna poprawka, usunięcie szczątków po Qooqlle (SearchScopes ujawnione w AD-Remover) + po pasku DAEMON i katalogów Avast. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2011-09-23 20:25:42 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2011-09-23 20:25:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}]

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Loga nie musisz pokazywać.

 

2. Czy na pewno został użyty tu ESET Uninstaller, a jeśli tak, to czy przypadkiem nie zwrócił jakiś błędów? Nadal widzę sterowniki ESET, usługa ESET zatrzymana i brak wejścia w Autostarcie:

 

SRV - [2011-01-12 17:41:42 | 000,810,144 | ---- | M] () [Auto | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)
DRV - [2010-12-21 16:04:06 | 000,141,264 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
DRV - [2010-12-21 16:04:06 | 000,115,008 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2010-12-21 14:47:38 | 000,094,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)

 

Odpowiedz na to pytanie, bym mogła dobrać stosowną metodę likwidacji.

 

 

 

#edit : co zauważyłem po napisaniu tego posta że nie działa mi Office. przy uruchamianiu worda wyskakuje mi komunikat " za mało pamięci lub miejsca na dysku,aby uruchomić program word", inne programy office też albo się nie uruchamiają albo wyskakuje komunikat " leksykon (XLLEX.DLL) jest uszkodzony lub niedostępny.

 

Wejdź do Dodaj / Usuń programy i dla Office uruchom naprawianie komponentów lub całkowicie przeinstaluj Office.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wg loga z ESET Uninstaller źle reagujesz na pytanie, dwa razy ominąłeś wybór produktu (a za trzecim razem opuściłeś narzedzie przez q), dlatego deinstalacja się nie wykonuje:

 

[09/24/11  21:15:50]	Installed AV products:
[09/24/11  21:15:50]		1. ESS/EAV/EMSX
[09/24/11  21:15:50]		2. SEP
 
[09/24/11  21:15:50]	Enter sequence number of AV product to uninstall and press ENTER (hint: to abort press 'q'): 
[09/24/11  21:16:14]	ERROR! Unknown option!
EXIT!
 
[09/24/11  21:16:14]	No AV product selected!

 

Przy pytaniu "Enter sequence number of AV product to uninstall" należy wpisać numer wykrytych produktów podany linię wyżej, czyli tu 1 i ENTER. Potem, ze względu na dwa numery tu pokazane, powtórzyć rundę, zobaczyć czy coś jeszcze jest wykrywane i pod jakim numerem, tenże numer wklepać i ENTER. Po ukończeniu tych operacji zresetuj system i wygeneruj nowy log z OTL do oceny, czy obiekty ESET zostały faktycznie upłynnione.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Potwierdzam, ESET Uninstaller zgrabnie wyrzucił resztki ESET, przygotowując grunt pod nową instalację. Instalację wykonasz dopiero po sfinalizowaniu tematu, a na razie oczekuje ta partia zadania:

 

1. Uporządkuj po używanych narzędziach, w tej a nie innej kolejności:

 

  • Odinstaluj AD-Remover.
  • Odinstaluj ComboFix (co czyści także foldery Przywracania systemu), w Start > Uruchom > wklejając komendę:
    "C:\Documents and Settings\Piotr\Pulpit\ComboFix.exe" /uninstall
  • W OTL uruchom Sprzątanie, które usunie z dysku kwarantannę OTL oraz sam program jako taki.

2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Przedstaw raport, jeśli coś infekcyjnego zostanie wykryte (nie interesują mnie wyniki typu OK / Archive / Packed). Jeśli nic nie zostanie wykryte, otrzymasz instrukcje końcowe.

 

 

 

.

Odnośnik do komentarza
PiotrM21

PiotrM21

Opublikowano
  • Autor
Opublikowano (edytowane)

Chyba został wykryty trojan przez Kaspersky Virus Removal Tool. Dodaje raporty z tych skanowań:

 

2011-09-26 18:55:14	Detected: Trojan.Win32.Patched.hp	C:\WINDOWS\system32\sfc_os.dll

2011-09-26 18:55:14 Will be deleted on system restart: Trojan.Win32.Patched.hp C:\WINDOWS\system32\sfc_os.dll

2011-09-26 18:55:14 Backed up C:\WINDOWS\system32\sfc_os.dll

2011-09-26 18:54:34 Detected: Trojan.Win32.Patched.hp C:\WINDOWS\system32\sfc_os.dll

Edytowane przez picasso
Zbędne Załączniki usunięte. //picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mówiłam:

 

 

Przedstaw raport, jeśli coś infekcyjnego zostanie wykryte (nie interesują mnie wyniki typu OK / Archive / Packed).

 

 

Dlatego ekstraktuję tylko informację infekcyjną i wklejam do posta. Skaner wykrył infekcję w pliku systemowym odpowiedzialnym za Ochronę systemu plików. Pliku tego nie wolno usuwać, on ma być leczony. Widzę akcję "Will be deleted..." zamiast "Cured". Czyli pytam się: czy rzeczywiście plik skasowany (to oznacza, że należy go rekonstruuować) + czy ponowny skan Kasperskym wykrywa to samo?

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Plik należy podmienić czystą kopią.

 

1. Pobierz plik zgodny z XP SP3 (tak przedstawia się Twój system): KLIK. Plik rozpakuj bezpośrednio na C:\, gdyż ta ścieżka zostanie wykorzystana w skrypcie.

 

2. Pobierz OTL (po Sprzątaniu zniknął). Uruchom i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\system32\dllcache\sfc_os.dll|C:\sfc_os.dll /replace
C:\WINDOWS\system32\sfc_os.dll|C:\sfc_os.dll /replace

 

Klik w Wykonaj skrypt. Spodziewana reakcja to restart systemu.

 

3. Wykonaj nowy skan Kasperskym, by sprawdzić czy nadal widzi coś w omawianym tu pliku. Dołącz log z wynikami usuwania OTL automatycznie utworzony w punkcie 2.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Plik wbemprox.dll zapewne jest naruszony. Podaj listę aktualnie zlokalizowanych w systemie kopii plus wygląd odwołań do tego pliku w rejestrze. Uruchom OTL, wszystkie sekcje ustaw na Brak + Żadne, a w polu Własne opcje skanowania / skrypt wklej:

 

/md5start
wbemprox.dll
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{443E7B79-DE31-11D2-B340-00104BCC4B4A}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB8555CC-9128-11D1-AD9B-00C04FD8FDFF}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CD184336-9128-11D1-AD9B-00C04FD8FDFF}\InprocServer32

 

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw wynikowy log.

 

2. Plik sfc_os.dll nie mógł się podmienić w miejscu głównym (tylko w dllcache nastąpiła wymiana), OTL nie wykonał tego po restarcie:

 

Unable to replace file: C:\WINDOWS\system32\sfc_os.dll with C:\sfc_os.dll without a reboot.

 

Pobierz ponownie ComboFix. Otwórz Notatnik i wklej w nim:

 

FCopy::

C:\WINDOWS\system32\dllcache\sfc_os.dll | C:\WINDOWS\system32\sfc_os.dll

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

Przedstaw log wynikowy.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Plik wbemprox.dll podmień nową kopią. Pobierz plik w wersji XP SP3 (KLIK), wypakuj na C:\, w OTL w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt.

 

:Files
C:\WINDOWS\system32\wbem\wbemprox.dll|C:\wbemprox.dll /replace

 

Przedstaw log wynikowy podmiany.

 

2. Plik sfc_os.dll wygląda na pomyślnie podmieniony. Upewnij się skanem Kasperskym, że już nic nie jest wykrywane. Po podmianie pliku wbemprox.dll powinny także ustąpić błędy z "nieprawidłowym obrazem".

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Mamy powtórkę z historii, plik nie może być podmieniony bez restartu, ale restart i tak nie przynosi efektów. Ostatnia akcja w ComboFix, majstruj nowy CFScript o zawartości:

 

FCopy::
C:\wbemprox.dll | C:\WINDOWS\system32\wbem\wbemprox.dll

 

Przedstaw wynikowy log. Gdy to się uda, otrzymasz już naprawdę końcowe kroki zapinające czyszczenie.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...